نشت داده‌های کاربران ChatGPT؛ هشدار تازه درباره امنیت داده‌ها

نشت داده‌های کاربران ChatGPT بار دیگر نگاه‌ها را به سمت چگونگی محافظت از اطلاعات شخصی در خدمات هوش مصنوعی جلب کرده است. این حادثه زمانی مطرح شد که OpenAI تأیید کرد بخشی از داده‌های کاربران از طریق یک سرویس تحلیل‌گر خارجی افشا شده است.

جزئیات حادثه و اطلاعاتی که افشا شد

OpenAI در بیانیه‌ای اعلام کرد که نشت داده‌ها ناشی از نقص امنیتی در سرویس تحلیلی Mixpanel بوده و هیچ‌گونه نفوذی به سیستم‌های خود OpenAI رخ نداده است.

این شرکت تأکید کرد که این رویداد «نقض امنیتی سیستم‌های داخلی OpenAI» محسوب نمی‌شود. اطلاعاتی که در این حادثه در معرض دید قرار گرفته شامل نام، آدرس ایمیل و شناسه‌های کاربری محدود بوده است.OpenAI هشدار داد که هیچ محتوای گفت‌وگوی کاربران با ChatGPT، هیچ درخواست API، رمز عبور، کلید API، مدارک هویتی یا اطلاعات پرداختی در این نشت حضور نداشته است.

طبق توضیحات منتشر شده، Mixpanel در تاریخ ۹ نوامبر از حضور مهاجم مطلع شده و سپس مشخص شد که فرد نفوذگر توانسته به بخشی از داده‌های این سرویس دسترسی پیدا کرده و مجموعه‌ای از داده‌های تحلیلی و اطلاعات قابل‌شناسایی محدود را صادر کند.

واکنش OpenAI پس از نشت داده‌های کاربران ChatGPT

OpenAI پس از این حادثه استفاده از Mixpanel را به‌طور کامل متوقف کرد و اعلام نمود که این نقص امنیتی نه از سوی آنها، بلکه از طریق سرویس طرف ثالث رخ داده است. این شرکت اعلام کرد که از این پس استانداردهای امنیتی سخت‌گیرانه‌تری برای تمامی شرکای خارجی اعمال خواهد کرد

.OpenAI همچنین از کاربران خواست نسبت به ایمیل‌های فیشینگ و حملات مهندسی اجتماعی هوشیار باشند، زیرا مهاجمان ممکن است از همین اطلاعات محدود برای فریب کاربران استفاده کنند.

کاربران نیز تشویق شده‌اند که احراز هویت چندمرحله‌ای را فعال کنند تا امنیت حساب‌های خود را افزایش دهند.

این حادثه با وجود اینکه اطلاعات بسیار محدودی را شامل می‌شود، اما بار دیگر اهمیت توجه به امنیت داده‌ها در زمان استفاده از ابزارهای هوش مصنوعی را یادآوری کرده است و موضوع نشت داده‌های کاربران ChatGPT را به بحث روز تبدیل کرده است.

دیدگاه کارشناسان امنیت سایبری درباره نشت داده‌های کاربران ChatGPT

کارشناسان امنیت سایبری می‌گویند حتی هنگامی که شرکت‌ها از سرویس‌های معتبر و شناخته‌شده استفاده می‌کنند، ارسال داده‌های قابل‌شناسایی به شرکت‌های ثالث همیشه خطراتی در پی دارد.

موشه سیمان توف بوستان، سرپرست تیم پژوهش امنیت در شرکت OX Security، توضیح می‌دهد که Mixpanel داده‌هایی مانند ایمیل و موقعیت کاربر را جمع‌آوری می‌کرد که برای بهبود محصول ضروری نبود و همین موضوع می‌تواند با اصل کمینه‌سازی داده در مقررات GDPR تضاد داشته باشد.

او تأکید می‌کند که همه شرکت‌ها، از غول‌های تکنولوژی تا استارت‌آپ‌های کوچک، باید در ارسال داده‌های کاربران به سرویس‌های خارجی بیشترین دقت را داشته باشند و اطلاعات شخصی را تا حد ممکن ناشناس یا رمزگذاری کنند تا از احتمال نشت داده جلوگیری شود.

این حادثه نشان می‌دهد هر داده‌ای که به خارج از سیستم اصلی ارسال می‌شود می‌تواند یک نقطه آسیب‌پذیر باشد، و نشت داده‌های کاربران ChatGPT یادآور مسئولیتی است که شرکت‌های فعال در حوزه هوش مصنوعی باید در قبال حفاظت از داده‌های کاربران برعهده بگیرند.